ottoの研究チームは9月16日(米国時間)、「Chrome & Edge Enhanced Spellcheck Features Expose PII, Even Your Passwords」において、Google ChromeやMicrosoft Edgeのスペルチェック機能を有効にしている場合に、パスワードや個人情報などの機密データが漏洩する可能性があるという問題を明らかにした。
同チームのレポートによると、Chromeにおいて「拡張スペルチェック」を有効にしている場合、および、EdgeにおいてMicrosoftエディターを利用している場合、Webサイトのログインページなどで「パスワードを表示する」のチェックを入れた際にGoogleやMicrosoftに入力済みのパスワードが送信されるリスクがあるという。
この問題はGoogleやMicrosoftが意図的に仕組んだものではなく、スペルチェックの精度を上げるためにクラウド上に入力テキストを送信していることが裏目に出た結果と言える。通常、パスワード入力フィールドに入力されたテキストは送信されることはない。しかし、多くのWebサイトがユーザビリティのために一時的にパスワードを表示する「パスワード表示」ボタンを提供している。このボタンをクリックしてパスワードを表示した瞬間に、入力テキストはスペルチェックの対象となってクラウドに送信されてしまう。
全文はこちら
https://news.mynavi.jp/techplus/article/20220921-2459897/
>>1
Appleだけ無事という時点で…
>>3
誰も使ってないから笑
>>58
iCloud大流出事件を起こしてる
オフになってた
オンにすることはないだろう
利用者が入力したキーストロークをクラウドに送信してスペルチェックしているからだろjk
画面でマスクしてみえなーい!とやっていてもスペルチェックするためにクラウドに垂れ流してパスワードをシェアしている。
PC版のChromeだけ?
Android版のChromeにスペルチェック機能なんてないだろ
>>20
スマホにはないね。変換エンジンのネット検索あたりかな。ATOKの学習能力に呆れてオムロンのS-Shoinにしてるけど。Simegiが一番能力高くて使いやすいけど送信リスクはなくならない。
>>35
S-ShoinもSimegiも中華製やん
そっちのほうが怖いわwww
寧ろ俺はグーグルのサーバーにパスワード保存して自動入力してるわ
ネットに繋げるソフトがブラウザなんだから、打ち込めばインターネッツに流出するのは当たり前
>>1
Googleに送信してるという点では、パスワードマネージャーも同じようなもんじゃないの?
パスワードは正しくないスペルにした方が強度が上がるのに、チェックしてどうするんだよ
ブラウザの問題じゃセキュリティソフトも意味ない?
>>120
意味ない
だってChromeの標準機能と思われてるから
ウイルスソフトも素通りしてる筈
chromeは使って無いしedgeにアドオン入れてないけど
passwordフィールドの入力をスペルチェックする意味が分からん
知ってた
つか何回目だよw
最初から使ってないわ
パスワードは意味がある単語を避けるべきというのはよく言われてるな
それでも完全に回避するのは難しいけど
スマホの日本語入力がパスワード覚えて予測変換に出す方が怖いわ
